Je crois avoir un trojan/spyware et je sais pas quoi faire

[Lvdwig]

Je fais ce post car comme mentionné dans le titre je suspecte très fortement un trojan sur mon pc mais je n'ai rien de totalement sûr et j'ai besoin d'aide pour m'aider à fouiller et comprendre si oui on non il y a bien quelque chose.

 

Tout a commencé lorsque kaspersky a détecté un probable trojan "HEUR:Trojan-Downloader.BAT.Bitser.gen" sur un fichier server.bat lorsque j'essaie d'installer un modpack pour un serveur minecraft connu et vérifié. Probable faux positif. J'arrête tout, je désinfecte le fichier suspect, supprime le modpack et run une analyse complète du système qui scan à peu près 3 200 000 fichier et aucune autre détection. Je redémarre et essaie de lancer un ptit scan malwarebytes qui ne donne rien puis je re lance un scan complet kaspersky au cas où. Et là kaspersky n'analyse que 470 000 fichier. Cela ne bouge pas après reboot pc et logiciel alors je réinstalle kaspersky et là tout va bien et re scan plus de 3 000 000 de fichier. Je re démarre et relance un scan pour savoir si kaspersky à bug ou autre et après reboot kaspersky recommence à n'analyse que 470 000 fichier. 

 

Comprenant pas ce qu'il se passe je fouille voir si des programmes chelou s'exécute ou autre et rien. Sauf les programmes Memcompression, Secure System et Registry qui selon kaspersky n'ont aucune signature numérique et lorsque je clique dessus j'obtiens le message dans la première image jointe. Je vais dans mon gestionnaire de tâche, je trouve bien les programmes sauf Memcompression et j'arrive à trouver leurs chemin et leurs propriétés et rien de trop suspect mais je ne vois pas Memcompression. 

 

Je vais checker sur des forums Microsoft pour des réponses et kaspersky me parle d'une connection SSL êtrange via opéra gx que je bloque et voici le message dans le rapport : "Événement: Une connexion SSL avec un certificat invalide a été détectée
message kaspersky : Type d'utilisateur: Non défini
Nom de l'application: opera.exe
Chemin d'accès à l'application: C:\Users\Patat\AppData\Local\Programs\Opera GX
Module: Navigation sécurisée
Résultat de description: Bloqué
Nom de l'objet: identity.nel.measure.office.net
Raison: Ce certificat ou un des certificats de la chaîne a expiré."

 

Je tente un redémarrage mode sans échec mais impossible de me connecter comme sur la 2ème image jointe et tenter de créer mon pin me fait juste un popup Microsoft qui s'éteint directement.

Je retourne sur kaspersky et je vois que Memcompression n'est pas actif je sais pas pourquoi et je tente de lancer un scan complet de mon système voir si il y a une différence maintenant et oui je retourne à plus de 3 000 000 en scan mais aucune détection. 

Dans les rapports kaspersky les dernières utilisation Memcompression, Registry et Secure system, sont incohérente avec leurs utilisation actuel. Il me dit qu'ils sont utilisés pour la dernière le 18mai à 4h05 alors que mon pc s'est éteint à 5h00 et que ça fait 2h que je suis dessus aujourd'hui par exemple.

Je trouve ça très inquiétant je lance un sfc scan et windows me dit aucun violation système détecté. Rien de bizarre je crois dans le rapport de tache planifiées suspectes. J'ai tenté d'analysé les connexions réseau actives mais je sais pas trop comment interpréter les résultats mais je crois qu'ils sont suspect. Beaucoup de messages d'impossibilité de lecture, plusieurs canaux LISTENING ou ESTABLISHED et il me semble que mon IP est toujours la même sauf quelques fois mais je ne sais pas si je lis les bonnes colonnes.

Bref dans le doute le pc est débranché et hors tension et coupé de tout réseau en attendant. Que dois je penser, que dois je faire ? J'ai vraiment besoin d'aide 

[Berny]

@Lvdwig Bonjour et bienvenu sur le Forum.
 

10 hours ago, Lvdwig said:

Nom de l'application: opera.exe
Chemin d'accès à l'application: C:\Users\Patat\AppData\Local\Programs\Opera GX

Veuillez restaurer les paramètres par défaut dans Opera GX + reboot ?

10 hours ago, Lvdwig said:

Nom de l'objet: identity.nel.measure.office.net

↓ Le rapport sur Qualys SSL Labs est clean 🤔 ↓

Spoiler

 

→ Lisez avant de créer un nouveau sujet !